Безопасная загрузка файлов в дотнетнуке

Question

Я относительно новичок в dotnetnuke и пытаюсь настроить простой сайт, который будет иметь несколько групп пользователей с собственным набором файлов, а затем другого пользователя, который имеет доступ ко всем файлам.

I 'Сейчас я играю с этим с помощью модуля «документы» и скрываю модуль от всех, кроме пользователя «все» и конкретного пользователя компании.Это работает нормально, но безопасность кажется просто безопасностью по неясности.

Если я войду в систему как пользователь A и получу доступ к файлу A и скопирую его URL.Затем я выхожу и регистрируюсь как пользователь B, который не может видеть этот файл.Если я затем вставлю URL-адрес файла в браузер, он, похоже, загрузится нормально.

Может кто-нибудь сказать мне, если я что-то не так делаю или нет фактической защиты на основе файлов при загрузке файлов?Я попытался перейти на настоящий файловый менеджер и сделать каталоги явно недоступными для просмотра пользователем B (они также являются безопасными каталогами), но все же он сохраняется.Я где-то пропускаю опцию разрешений на уровне файлов или система безопасности предназначена только для того, чтобы вы не могли найти нужные ссылки на файлы?Я признаю, что ссылки не являются предположительными (никаких последовательных идентификаторов в URL или чего-то подобного глупого), но мне все еще немного не по себе из-за того, что охрана работает следующим образом ...

Answer 1

DNN FileManager Module

Привет, Крис,

Пожалуйста, ознакомьтесь с модулем FileManager по ссылке выше. Вы правы, что текущий модуль FileManager не разрешает доступ для пользовательских ролей. Вы могли бы проверить Snowcovered на предмет возможных заменителей?

Answer 2

Модуль документов обеспечивает безопасность для LinkClick.aspx URL-адресов, которые направляются в ASP.NET.

Если фактические файлы находятся в файловой системе в корневой папке сайта, прямые URL к этим файлам обслуживаются и защищаются IIS.Чтобы предотвратить несанкционированный доступ к прямым URL-адресам, вы можете, например, отключить анонимную аутентификацию и настроить обычную аутентификацию с разрешениями NTFS.

Если вы не хотите трогать IIS и администрировать учетные записи Windows, вы не можете хранить файлы непосредственно в любой общедоступной папке IIS.Безопасность на уровне приложений ASP.NET реализуется с использованием шифрования файлов или хранения файлов вне общедоступных папок IIS, как в базе данных.DNN File Manager предлагает обе эти опции: защищенные папки в файловой системе и защищенные папки в базе данных.

Существуют также сторонние модули для управления безопасностью и общим доступом к файлам, такие как NukeTransfer .

Answer 3

Похоже, я делал что-то не так.Я ссылался на другую версию файла, к которой не было прикреплено никаких разрешений.Кажется также, что мне не нужно иметь несколько модулей документов, так как если файл не имеет разрешения на чтение, он просто будет скрыт в списке.

Итак, для суммирования модуля DNN Documents обеспечивает безопасность на основе ролей, чтобы предотвратить загрузку файла и просмотр его неавторизованными пользователями в представлении документов.